Uma campanha de ciberespionagem que está em curso utiliza malware único contra as indústrias aeroespacial, de aviação e de defesa de Israel e outros países do Oriente Médio
parece ter ligações com o Irã, segundo investigadores de segurança. Os alvos da operação seriam organizações em Israel e nos Emirados Árabes Unidos (EAU), além de potencialmente na Turquia, Índia e na Albânia, de acordo com analistas da Mandiant, a unidade de segurança cibernética do Google Cloud.
Segundo o pesquisadores, a campanha começou em junho de 2022 e parece estar ligada a um grupo iraniano que Mandiant rastreia como UNC1549, que se sobrepõe a outra operação de hacking chamada Tortoiseshell.
A lista de alvos do grupo inclui companhias marítimas israelenses e norte-americanas. empresas aeroespaciais e de defesa, e relatórios ligam os ataques ao Corpo da Guarda Revolucionária Iraniana (IRGC, na sigla em inglês) do Irã. No início deste mês, os EUA sancionou membros de uma unidade do IRGC por ataques contra empresas de abastecimento de água.
Os investigadores disseram que a potencial ligação do IRGC “é digna de nota, dado o foco em organizações relacionadas com a defesa e as recentes tensões com o Irã à luz da guerra Israel-Hamas”. O Irã apoia abertamente os militantes do Hamas em Gaza.
A Mandiant observou que o UNC1549 “implanta múltiplas técnicas de evasão para mascarar sua atividade, principalmente o uso extensivo da infraestrutura em nuvem do Microsoft Azure, bem como esquemas de engenharia social para disseminar duas backdoors exclusivas: MiniBike e MiniBus.
Veja isso
Grupo iraniano usa spray de senhas para espionagem
Hackers iranianos fazem ataques ao setor de tecnologia de Israel
O malware MiniBike foi detectado pela primeira vez em junho de 2022 e visto pela última vez em outubro do ano passado. Ele é capaz de “exfiltração e upload de arquivos, execução de comandos e muito mais”, disse Mandiant, e usa a infraestrutura de nuvem Azure. Enquanto isso, o MiniBus é uma “backdoor personalizada que fornece uma interface de execução de código mais flexível e recursos de reconhecimento aprimorados”, disseram os pesquisadores. Eles a avistaram pela primeira vez em agosto de 2023 e a viram recentemente, em janeiro.
Os dois malwares cobrem a lista de verificação usual da espionagem cibernética, incluindo a coleta de credenciais de login para permitir espionagem adicional ou a execução de outro código malicioso para abrir caminho para mais atividades.
Os pesquisadores também identificaram um “túnel” personalizado que rotularam de LighTrail. Os túneis ocultam essencialmente atividades maliciosas, agrupando o tráfego da Internet dentro de outro tráfego.
Para ter acesso ao relatório completo da Mandiant, em inglês, sobre a campanha do grupo UNC1549 clique aqui.